Новости Microsoft вводит расширенную защиту для борьбы с атаками на Exchange Server

[NewsMaker]

Компания признала, что что Exchange Server был атакован до выпуска исправлений.

---

---

В свежем обновлении системы безопасности Microsoft предупредила о критической уязвимости в Exchange Server, которая была эксплуатирована как 0day до того, как была исправлена Для просмотра ссылки Войди или Зарегистрируйся в феврале.

Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8) позволяет удалённому неаутентифицированному злоумышленнику повышать свои привилегии в атаках NTLM Relay на уязвимые версии Microsoft Exchange Server. В таких атаках атакующий заставляет сетевое устройство (включая серверы или контроллеры домена) аутентифицироваться на сервере NTLM Relay, находящемся под его контролем, чтобы выдат себя за целевые устройства и повышать привилегии.

Как Для просмотра ссылки Войди или Зарегистрируйся Microsoft, хакер может нацелиться на NTLM-клиента, Outlook, эксплуатируя уязвимость, приводящей к утечке учетных данных NTLM. Раскрытые учетные данные могут быть затем перенаправлены на сервер Exchange для получения привилегий как клиент-жертва и выполнения операций на сервере Exchange от имени жертвы.

Для защиты от подобных атак Microsoft ввела механизм расширенной защиты для проверки подлинности (Extended Protection for Authentication, EPA), который стал доступен с обновлением Cumulative Update 14 (CU14) для Exchange Server 2019. Опция EPA предназначена для укрепления функционала аутентификации Windows Server путём смягчения атак типа NTLM Relay и MitM -атак (Man-in-the-Middle). Microsoft также объявила, что EPA Для просмотра ссылки Войди или Зарегистрируйся по умолчанию на всех серверах Exchange после установки обновления CU14.

Администраторы могут использовать скрипт PowerShell Для просмотра ссылки Войди или Зарегистрируйся для активации EPA на предыдущих версиях Exchange Server для защиты от атак с использованием CVE-2024-21410.